Datos personales y Compliance: Dos aliados estratégicos

Cumplir con las obligaciones legales y regulatorias asociadas a la implementación de programas de cumplimiento (SAGRILAFT/PTEE) no constituye una justificación para inobservar otras obligaciones legales regulatorias, como la protección de los datos personales. Sin embargo, aplicar de forma simultánea ambos tipos de obligaciones puede ser desafiante.

Para entender el reto al que se pueden enfrentar las empresas, es necesario referirnos al régimen general de protección de datos personales en Colombia, regulado de forma principal por la Ley 1581 de 2012, que parece establecer una cierta contradicción respecto a su aplicabilidad en materia de prevención de riesgos de lavado de activos (LA) y financiamiento del terrorismo (FT). Lo anterior, en tanto por un lado establece que las bases de datos que tengan por finalidad la prevención, monitoreo y control de LA/FT están exceptuadas de aplicación del régimen de protección de datos de la ley y, por el otro, determina que, sin perjuicio de lo anterior, los principios sobre protección de datos contenidos en la misma ley deberán ser aplicables a todas las bases de datos, sin ninguna excepción.

En este sentido, el principal dilema proviene de determinar cómo se deben aplicar los distintos principios de la ley, sin caer en una violación al no seguir todas las formalidades establecidas en la misma. De esta manera, uno de los obstáculos más grandes se relaciona con la aplicación del principio de autorización, por del cual es necesario solicitar al titular de los datos su consentimiento previo, expreso e informado para poder llevar a cabo el tratamiento de sus datos personales. La interpretación literal de este principio pude llevar a desnaturalizar la intención de la ley de excluir a las bases de datos con fines de prevención de LA/FT, por lo que será necesario que las empresas tomen decisiones sobre la interpretación que se le va a dar a los principios de la norma, sin ignorar la necesidad de proteger los datos personales. Así, se puede adoptar una posición totalmente conservadora y dar aplicación a todas las obligaciones respecto del consentimiento contenidas en la ley, o tomar una visión menos estricta informando a los titulares de los datos de forma previa, expresa e informada las finalidad del tratamiento, pero sin requerir su autorización.

Sin perjuicio de lo anterior, es importante tener en cuenta que la ley no incluye dentro de sus excepciones las bases de datos que tengan por finalidad la prevención de corrupción (C) y soborno transnacional (ST). Por regulación normativa, a estas bases de datos les deben aplicar todas las disposiciones de protección de datos personales, incluyendo, entre otras, la obligación de contar con autorización previa, expresa e informada del titular de los datos sujetos a tratamiento. Así, las empresas que estén obligadas a implementar ambos programas deberán cumplir con las formalidades de la Ley 1581, como mínimo, para las bases de datos de C/ST.

En conclusión, y atendiendo a que el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades requiere a las empresas respetar las disposiciones legales en materia de datos personales, las empresas no pueden desconocer los principios y disposiciones aplicables a las bases de datos de LA/FT/C/ST. En este sentido, las empresas deberán al menos informar a los titulares de los datos la finalidad para la cual están siendo recolectados y, de manera obligatoria, solicitar consentimiento cuando se trate de bases de datos de C/ST.